otto1699
Goto Top

Postfix SMTP Relay auf vServer - Backup MX sinnvoll (nötig)

Hallo,

ich plane gerade den "Umbau" unseres E-Mail-Fluss für 25 User.

Zur Zeit haben wir folgendes:
ankommend
25 Postfächer bei einem Hoster
fetchmail holt per pop3 ab und übergibt an Postfix
Postfix scannt nach Viren und Spam und übergibt an einen Exchange

abgehend
Exchange übergibt an Postfix
Postfix scannt nach Virus und übergibt an Server des Hosters


Da wir unsere SPAM Abwehr verbessern wollen, z.B. SPAM gleich abweisen, hatte ich an einen "richtigen" SMTP gedacht.
Da unsere I-Net Leitung nicht die beste ist und Ausfälle schon mal vorkommen, will ich den SMTP auf einem vServer auslagern.

Aber wie fange ich z.B. den Wartungsfall ab, zweiter SMTP in die lokal DMZ?
Jetzt ist das ja recht einfacht, Fetchmail anhalten und schon kann die Wartung beginnen face-smile


Was haltet Ihr von meinem Plan? Sinnvoll?


LG Otto

Content-ID: 338778

Url: https://administrator.de/forum/postfix-smtp-relay-auf-vserver-backup-mx-sinnvoll-noetig-338778.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Pjordorf
Pjordorf 24.05.2017 um 12:55:46 Uhr
Goto Top
Hallo,

Zitat von @Otto1699:
z.B. SPAM gleich abweisen
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.

hatte ich an einen "richtigen" SMTP gedacht.
Was ist an Postfix denn "kein" richtiger Mailserver oder meintest du tatsächlich nur das Protokoll SMTP?

Gruß,
Peter
LordGurke
LordGurke 24.05.2017 um 13:32:59 Uhr
Goto Top
Zitat von @Pjordorf:
Zitat von @Otto1699:
z.B. SPAM gleich abweisen
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.

Du kannst zu jedem Zeitpunkt innerhalb der SMTP-Transaktion eine E-Mail abweisen - auch, nachdem du den Inhalt empfangen (und geprüft) hast.
Mache ich auch so und ist die rechtlich sicherste Methode. Denn wenn du eine E-Mail nicht annimmst (also nicht mit 250 OK quittierst) gilt sie rechtlich und technisch nicht als zugestellt und der absendende Mailserver muss sich darum kümmern den Absender zu benachrichtigen.

Nimmst du die E-Mail an ist sie in deinem Besitz und wenn du sie dann nicht haben willst musst du sie trotzdem irgendwohin zustellen. Oder du generierst selber einen Bounce, aber diesen Backscatter will man ganz und gar nicht.

Ergo: Mail ablehnen wenn Spam/Viren/whatever drin ist, ist die beste Variante.


@Otto1699:
Für den Backup-Mailserver könnt ihr ja euren vorhandenen Postfix in die DMZ stellen und ihn so konfigurieren, dass er E-Mails per SMTP annimmt, aber auch gleichzeitig gegen den Exchange im Hintergrund prüft, ob der Empfänger vorhanden ist.
Allerdings müssten eure beiden MX möglichst identische Spam- und Virenprüfung machen, damit du nicht in das Problem der Backscatterei gerätst.
AndiEoh
AndiEoh 24.05.2017 um 14:30:35 Uhr
Goto Top
Hallo,

wenn du es richtig machen willst lass fetchmail weg. Einfach einen kleinen Linux mit Postfix als Eingangs/Ausgang Relay einrichten und den Exchange über die Firewall so abschotten das nur von eurem Postfix E-Mails per SMTP angenommen werden. Bitte aber folgendes beachten:

- Das DNS für das Relay muss sauber sein bezüglich vorwärts/rückwärts Auflösung (A,AAA,PTR und MX Records)
- Der Virenscanner frisst am meisten Leistung/RAM, bei der Dimensionierung darauf achten
- Den Wartungsfall für das Relay würde ich gar nicht berücksichtigen, E-Mail kommt mit Verspätungen sehr gut zurecht
- Ausfall eurer Leitung dahingehend berücksichtigen das z.B. die gültigen E-Mail Adressen auf den Postfix syncronisiert werden und nicht online beim Exchange abgefragt werden

Weitere Hinweise z.B. hier :

http://postfix.state-of-mind.de/patrick.koetter/mailrelay/

Gruß

Andi
Otto1699
Otto1699 24.05.2017 um 16:11:50 Uhr
Goto Top
Hi,

vielen Dank für die Infos.

Dann brauche ich also keinen Postfix auf einem vServer, wenn ich einen Postfix im DMZ laufen habe?
Eine Nichterreichbarkeit ist dann nicht so schlimm?

Wenn ich nur einen SMTP Server pflegen muss, ist mir das ganz recht.


VG
Otto
fredmy
fredmy 25.05.2017 aktualisiert um 18:52:43 Uhr
Goto Top
Hallo,
Du hast aber (wegen Hoster) das Problem, dass du maximal Spam (oder was du dafür erklärst) unterdrücken bzw. wegwerfen kannst ( Juristen fragen, die erklären dir die Zusammenhänge besser...)
Mails hast du mit dem Server (Hoster) der für dich zuständig ist schon mit dem "250 OK" des Hostermailers. Du darfst also nur noch Viren (in Quarantäne) aussortieren.
evtl bei https://www.heinlein-support.de/anti-spam nachlesen. Der Autor ist selbst Jurist.

Alternativ: Hosterserver anders einstellen ( Greylisting, SPF usw.) um Mails gar nicht erst anzunehmen.
Ansonsten, wenn dein lokaler Postfix mal ne Stunde weg ist, dann ist das eben so, wenn du ihn später wieder aktivierst macht er ja weiter...

Fred
LordGurke
LordGurke 25.05.2017 um 19:03:57 Uhr
Goto Top
Den Server des Hosters will der TO - so wie ich es verstanden habe - zukünftig ohnehin nicht mehr verwenden.
Aber sicher: Wenn, dann musst du das alles selbst in die Hand nehmen. Und wie gesagt: Für den Anfang reicht ein Server durchaus aus face-wink
thStahl
thStahl 30.06.2017 um 13:17:45 Uhr
Goto Top
Eine ähnliche Umgebung lief hier über viele Jahre.
Feste IP, Reverse Auflösung eingerichtet.
Wenn das gegeben ist kann ein vollwertiger Mailserver eingerichtet werden.

Sollte auch nur einer dieser Punkte nicht erfüllt sein wird es etwas schwieriger aber nicht unlösbar.

Linux mit Mailserver der auf Empfänger prüft und dann an den internen Exchange weiterleitet.
Wichtig ist dass bereits dieser Linuxserver auf existierende Mailadressen prüft.
Der Exchange-Server empfängt/versendet seine Mails über den Linuxrechner und hat weder eingehend noch ausgehend Zugriff.

Einen Mailserver mit dynamic IP zu betreiben ist grundsätzlich möglich wenn die dynamische Adresse zuverlässig aktualisert wird.
Der Postausgang MUSS in so einem Fall über den Mailserver der Providers laufen aber das macht Ihr ja jetzt auch schon.

Begründung: Mailserver lehnen in den allermeisten Fällen die Annahme von Mail ab wenn
a: der Mailservername (Hostname) nicht mit der Reversen Nameauflösung übereinstimmt
b: die IP aus einem Dialinnetzwerk stammt.


Problem - Nichterreichbarkeit bei Leitungsausfall bzw. Wartung
Eigentlich sollten Mailserver in so einem Fall den Zustellversuch wiederholen, was der Großteil der Server auch macht.
Das heißt, Mailserver versuchen über einen definierten Zeitraum (abängig von der Konfiguration des Senderhost) die Mail zuzustellen. Nach einer definiert Zeit erhält der Absender eine Nachricht dass die Mail noch nicht zugestellt werden konnte.
Nach einer weiter Zeitspanne (auch wieder Abhängig von der Konfiguration des Senderhost) geht die Mail an den Sender zurück.
Meiner Beobachtung nach halten sie die großen Provider an dieses Schema.

Leider gibt es aber auch Mailserver die genau das nicht machen und die Mail beim ersten Fehlschlag an den Absender zurückgeben.
Immerhin hat der Absender dann die Mitteilung dass die Zustellung nicht erfolgreich war und kann entsprechend reagieren.

Eine weitere Konfiguration in einem privaten Umfeld läuft seit Jahren so.
Dynamische IP, Mailausgang über Host des Provider.
Probleme gab es bisher nie.

Gruß